Значение и необходимость информационной безопасности

Размещено на http://www.allbest.ru/

РЕФЕРАТ

Значение и необходимость информационной безопасности

Социальные и экономические изменения в последние годы создали условия для широкого внедрения в России новейших информационных технологий, создания и использования перспективных информационных, телекоммуникационных систем связи и обработки информации баз данных как в государственном, так и в негосударственном секторах экономики. С вхождением России в мировое информационное пространство, развитием глобальных международных сетей пользователи получили возможность доступа к информационным ресурсам независимо от своего территориального расположения.

В мировой экономике в настоящее время доля компьютерных и информационных технологий очень существенна. Информационная индустрия, как и всякая другая индустрия, развивается по привычным экономическим законам. Но она имеет некоторые существенные особенности, которые отличают ее от всей предыдущей социально-экономической практики. При формировании и использовании информационных ресурсов возникают определенные отношения между участниками.

Регулировать подобные отношения призваны нормативно-правовые акты - законы, постановления, положения и др. Рассмотрим подробнее, как защищена информация в одной из автоматизированных систем государственного сектора экономики - автоматизированной системы “Государственный регистр населения”.

Создание автоматизированной системы “Государственный регистр населения” обусловлено необходимостью решения проблем, которые возникают при решении задач социально-экономического развития страны и регионов, в сфере социального обеспечения населения, в системе государственного регистрационного учета граждан и использования первичных регистрационных данных о гражданах, в обеспечении функционирования и взаимодействия создаваемых автоматизированных систем учета различных категорий граждан, в сфере информационного обслуживания населения и хозяйствующих субъектов. Государственный регистрационный учет граждан в Российской Федерации должен осуществляться в интересах граждан и государства и основывается на системе регистрации граждан по месту жительства и по месту пребывания, а также на системе регистрации актов гражданского состояния. Регистрацию граждан по месту жительства и по месту пребывания осуществляют паспортно-визовые службы органов внутренних дел совместно с органами местного самоуправления. Государственную регистрацию актов гражданского состояния осуществляют органы ЗАГС, образуемые органами государственной власти субъектов Российской Федерации. Координация деятельности по государственной регистрации актов гражданского состояния осуществляет Министерство юстиции Российской Федерации.

Действующая система регистрационного учета обеспечивает сбор основных идентификационных сведений о всех гражданах, проживающих на территории Российской Федерации. Однако, существующее в настоящее время состояние этой системы характеризуется низким уровнем автоматизации и технической оснащенности паспортно-визовых служб органов внутренних дел и органов ЗАГС, отсутствием информационного обмена между органами ЗАГС и паспортно-визовыми службами, следствием чего является недостаточная оперативность получения паспортно-визовыми службами информации об умерших, об изменивших фамилию, имя, отчество, ограниченная возможность оперативного использования имеющейся информации органами исполнительной власти, хозяйствующими субъектами, общественными организациями и гражданами.

Необходимость оперативного получения актуальной и достоверной информации о проживающем на территории Российской Федерации населении настоятельно требует внедрения новых информационных технологий в сфере государственных регистрационного учета граждан. Внедрение таких технологий не сводится к установке вычислительной техники в органах, осуществляющих регистрацию граждан. Требуется решить достаточно сложные вопросы нормативных правового обеспечения системы регистрации и обмена данными в условиях информатизации. При автоматизации процессов регистрации учета населения необходимо, с одной стороны, предотвращать попытки нарушения прав человека, а с другой стороны, обеспечить защиту прав и свобод личности и эффективное социальное развитие общества в интересах всего населения и каждой личности. Создание АС ГРН будет способствовать преодолению недостатков и разрешению имеющихся проблемных ситуаций. Создание АС ГРН является важной социально-экономической проблемой, решение которой требует использования программно-целевых методов.

Автоматизированная система “Государственный регистр населения” (АС ГРН) является государственной территориально-распределенной информационно-телекоммуникационной системой, обеспечивающей в автоматизированном режиме формирование, ведение и использование баз данных Государственного регистра населения, эффективное информационное взаимодействие автоматизированных информационных систем (АИС) учета различных категорий населения, информационное обслуживание органов государственной власти, органов местного самоуправления, хозяйствующих субъектов и населения.

АС ГРН включает:

- государственный информационный ресурс “Государственный регистр населения”;

- средства информатизации - программно-технический комплекс и телекоммуникационную систему, осуществляющие автоматизированный сбор и хранение данных ГРН и обеспечивающие доступ к ним;

- единое информационно-лингвистическое обеспечение;

- организационно-правовое обеспечение ее создания и функционирования.

Государственный регистр населения (ГРН) - совокупность минимально необходимых персональных регистрационных данных граждан Российской Федерации, однозначно идентифицирующих личность, и документы регистрационного учета населения, сбор которых регламентирован государственными нормативными правовыми актами. В соответствии со статьей 24 Конституции Российской Федерации в ГРН собираются, хранятся и используются только сведения регистрационного учета граждан. Сбор и хранение в ГРН информации о частной жизни граждан не допускается. Каждый гражданин вправе ознакомиться с составом и содержанием информации о себе, хранимой в ГРН.

Нормативно-правовые акты по защите информации в АС ГРН.

Правовую основу защиты данных в АС ГРН должны составлять правовые акты Российской Федерации:

- Конституция Российской Федерации;

- Закон Российской Федерации от 05.03.1992 г., №2446-1 "О безопасности";

- Закон Российской Федерации от 21.07.1993 г., №5485-1 "О государственной тайне";

- Закон Российской Федерации от 10.06.1993 г., №5154-1 "О стандартизации";

- Федеральный закон от 20.02.1995 г., №24-ФЗ "Об информации, информатизации и защите информации";

- Федеральный закон от 04.07.1996 г., №85-ФЗ "Об участии в международном информационном обмене";

- Указ Президента Российской Федерации от 06.03.1992 г., №188 "Об утверждении перечня сведений конфиденциального характера";

- постановление Правительства Российской Федерации от 21.02.1996 г., №226 “О государственном учете и регистрации баз и банков данных”.

Информационную основу АС ГРН составляют персональные данные. В отличие от других видов информации персональные данные имеют свои особенности, поскольку непосредственно затрагивают интересы каждого гражданина, правовое положение которого определяется Конституцией Российской Федерации и регулируется федеральным законодательством. Персональные данные о гражданах требуют особого режима государственной защиты от попыток нарушения прав человека.

В то же время государство должно обеспечить права доступа каждого гражданина к регистрационным данным о нем, возможность внесения дополнений и изменений в личные данные, а также обеспечить доступ к персональным данным государственных органов власти и юридических лиц, обеспечивающих свободу и права личности, развитие инфраструктуры жизнеобеспечения человека и общества. С этой целью необходимо разработать нормативные правовые документы, гарантирующие права человека, определенные в статье 24 Конституции Российской Федерации.

Важное значение для обеспечения защиты данных имеют постановление Правительства Российской Федерации от 15.09.1993 г., №912-51, утверждающее “Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам”, постановления Правительства Российской Федерации о регистрации граждан по месту жительства (месту пребывания), а также нормативные правовые документы, касающиеся регистрации актов гражданского состояния, положения об органах и инструкции по технологии проведения регистрации. При создании и функционировании АС ГРН эти нормативные правовые и иные акты должны быть изменены в соответствии с новыми требованиями.

При развитии правовой базы, регулирующей создание АС ГРН и использование персональных данных, необходимо учитывать требования и опыт мирового сообщества в сфере защиты персональных данных, в частности, требования Конвенции Совета Европы от 28.01.1991 г., №108 “О защите личности в отношении автоматизированной обработки персональных данных”, Директивы 95 ЕС Европейского парламента и Совета Европейского Союза “О защите прав частных лиц в отношении обработки персональных данных и о свободном обращении этих данных” и Директивы 97 Европейского парламента и Совета Европейского Союза “Об обработке персональных данных и защите права на невмешательство в частную жизнь в сфере телекоммуникации”.

При разработке нормативной правовой базы АС ГРН необходимо учитывать принципы и рекомендации европейского законодательства, гарантирующие:

- защиту конституционных прав и свобод личности;

- отсутствие ограничений и запретов на обмен персональными данными по причинам, связанным с защитой прав и свобод личности;

- предоставление личности возможности непосредственного контроля правильности записи и использования персональных данных;

- создание системы государственного надзора за операциями по обработке персональных данных и др.

Учитывая трудоемкость и значительную стоимость создания баз данных АС ГРН, а также недопустимость несанкционированного доступа к ним необходимо решить вопросы, связанные с компенсацией финансовых потерь от различного рода действий, разрушающих информацию. Важное значение при функционировании АС ГРН приобретает вопрос возмещения ущерба населению при неправомочном использовании персональных данных. Указанные вопросы должны решаться с использованием страховых механизмов. Необходимо разработать “Положение о страховании информационных рисков при функционировании АС ГРН”.

Разрабатываемые правовые акты по созданию и функционированию АС ГРН должны обеспечивать:

- распределение персональных данных по степеням защищенности и по категориям доступа;

- правовые механизмы, обеспечивающие защиту информации;

- организацию работ по защите информации;

- выполнение положений государственной системы защиты информации (ГСЗИ);

- сертификацию технических средств, программных средств и средств защиты персональных данных;

- лицензирование информационной деятельности по формированию и использованию данных АС ГРН;

- страхование информационных рисков.

Нормативно-технические акты, обеспечивающие защиту информации в АС ГРН.

Помимо нормативно-правовых актов, обеспечивающих защиту информации в базах данных, существуют нормативно-технические акты, преследующие такие же цели.

Основным видом защиты информации в АС ГРН является система защиты от несанкционированного доступа (СЗИ НСД). Для реализации такой защиты необходимо выставлять требования на разработку всей нормативно-технической документации на всех стадиях проектирования и ввода системы в эксплуатацию.

Система защиты от несанкционированного доступа в АС ГРН должна соответствовать следующим нормативным документам:

- ГОСТ Р50739-95. СВТ. Защита от НСД к информации. ОТТ;

- РД АС. Защита от НСД к информации. Классификация АС и требования по защите информации;

- РД СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации;

- РД. Концепция защиты СВТ и АС от НСД к информации;

- ИСО МЭК. Защита информации. Обозначение сертификатов;

- ИСО МЭК. 7498-98. ИТ. Взаимосвязь открытых систем. Базовая эталонная модель;

- МЭК. ППС 10181. ИТ. Взаимосвязь открытых систем. Основы защиты информации в открытых системах.

При создании телекоммуникационной сети АС ГРН для подтверждения авторства сообщений и обеспечения их целостности должны применяться средства электронной цифровой подписи. Средства электронной цифровой подписи должны удовлетворять требованиям:

- ГОСТ Р3410-94. Процедура выработки и проверки электронной цифровой подписи на базе ассиметричного криптографического алгоритма;

- ГОСТ Р3411-94. Функция хеширования;

- Положение о порядке разработки, производства, реализации и использовании средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Положение ПКЗ-99).

При взаимодействии региональных баз персональных данных АС ГРН и баз данных федеральных органов государственной власти используется ИТКС специального назначения и сертифицированные средства криптографической защиты, удовлетворяющие дополнительно следующим требованиям:

- ГОСТ 28147-89. Система обработки информации. Защита криптографическая, Алгоритмы криптографического преобразования;

- Временные требования к средствам криптографической защиты конфиденциальной информации;

- Временные требования к устройствам типа межсетевые экраны.

Указанные нормативно-технические документы должны быть положены в основу создания и функционирования АС ГРН. Проектирование системы должно проводиться по модульному принципу. На каждый модуль системы должен быть определен отечественный профиль. Отечественные профили и технические условия на систему являются основой сертификации каждого модуля и системы в целом. Требования к средствам защиты информации. Построение АС ГРН должно предусматривать решение проблемы обеспечения гарантированной защиты данных о конкретных лицах. Средства защиты информации должны обеспечивать:

- защиту информации от несанкционированной модификации и разрушения на всех этапах ее обработки, хранения и передачи;

- аутентификацию сторон, производящих обмен информацией (подтверждение подлинности отправителя и получателя);

- разграничение прав пользователей и обслуживающего персонала при доступе к информационным ресурсам АС ГРН, а также при хранении и предоставлении конфиденциальной информации, в том числе защиту от несанкционированного доступа пользователей ведомственных информационных систем к информационным ресурсам АС ГРН;

- возможность доказательства неправомочности действий пользователей и обслуживающего персонала АС ГРН;

- защиту информации от несанкционированного доступа средствами проверки полномочий пользователей и обслуживающего персонала на использование информационных ресурсов АС ГРН (возможность несанкционированного изменения или уничтожения этой информации, как и несанкционированное получение, изменение или уничтожение информации о гражданах третьими лицами должны быть исключены);

- защиту от несанкционированной модификации программного обеспечения, включая защиту от внедрения “вирусов” в программные продукты;

- защиту информации от случайных разрушений;

- дублирование информации путем создания резервных копий;

- выполнение специальных требований для используемых импортных аппаратных средств;

- защиту от утечки по побочным каналам технических средств, предназначенных для обработки и хранения конфиденциальной информации;

- защиту баз данных различного уровня;

- защиту каналов передачи информации;

- подтверждение авторства сообщений с использованием электронной цифровой подписи информации;

- для любого гражданина возможность беспрепятственного ознакомления с данными о нем самом;

- живучесть АС ГРН.

При формировании на основе первичных данных АС ГРН аналитической и агрегированной информации в соответствующих информационно-аналитических системах могут быть использованы средства криптографической защиты, соответствующие формируемой информации.

Используемые криптографические средства защиты должны иметь сертификат ФАПСИ.

Используемые криптографические средства защиты должны удовлетворять “Временным требованиям к средствам криптографической защиты конфиденциальной информации, не составляющей государственной тайны” по классу не ниже, чем “В”.

Выбор средств защиты информации от НСД должен основываться на указанных выше требованиях к системе защиты информации в АС ГРН и на анализе существующих средств защиты в стране. Эти средства должны быть, по возможности, отечественными и должны отвечать следующим требованиям: компьютерный автоматизированный информация

- иметь сертификат в системе сертификации средств защиты;

- функциональные возможности средств защиты должны обеспечивать выполнение основных контрольных процедур до загрузки операционной системы;

- спектр выпускаемых на аттестованных производствах средств защиты информации должен решать проблемы защиты в гетерогенных сетях, основанных на интеграции широко применяемых в России операционных систем;

- состав атрибутов, на основе которых описываются правила разграничения доступа к объектам АС ГРН, должен быть таким, чтобы обеспечить возможность описания любой разумной непротиворечивой политики безопасности;

- для применения в сетевых решениях обязательным является наличие средств централизованного управления безопасностью и средств аудита.

Важнейшим критерием выбора средств защиты информации является анализ практики применения этих средств.

Размещено на Allbest.ru